系统安全管理规章制度供参考.docx

1、系统安全管理规章制度供参考系统安全管理制度文档编号版本号1.0日 期2013.05文档控制拟 制:审 核:责任人:文档修改记录修改日期修改人修改内容简述版本号2013年5月制订1.01目的为了保护基础设施和关键业务信息安全，防止XX的访问，确保信息系统的机密性、完整性和可用性，特制定本管理办法。2范围本办法适用于网络中运行的各类系统，以及承载上述应用系统的主机、数据库、中间件、网络设备、安全设备等组成的IT基础设施。3流程3.1物理环境安全管理3.1.1物理环境安全的目的是保护信息系统的服务器、网络设备、存储设备、终端等基础设施免受非法的物理访问，避免自然灾害和环境危害。3.1.2关键或敏感的

2、网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根据不同的安全需求等级，划分不同的安全区域。3.1.3系统生产机房的安全管理包括机房环境要求、机房门禁及出入管理、机房保密要求、机房值班人员管理要求。3.2信息资产安全管理3.2.1资产安全管理信息资产安全的目的是以可以接受的成本，确认、控制、排除可能影响信息资产的安全风险或将其带来的危害最小化。系统信息资产安全的主要内容包括安全管理和风险评估。3.2.2数据安全管理3.2.2.1数据安全管理的目的是加强系统数据安全保护，规范相关的开发、运维、使用和审计流程，对数据泄漏及篡改做到事前预防、事中控制和事后审计，确保客户和企业经营核

3、心数据的高机密性。3.2.2.2数据安全管理主要包括数据安全分级标准、保护标准、安全保护方案的制定和部署、访问控制和使用规定。3.2.3风险评估3.2.3.1风险评估的目的是通过对IT系统的安全状况进行评估，及时发现风险，并提出防范建议。3.2.3.2安全管理员根据管理需要，组织第三方人员进行风险评估，提交风险评估报告，提出风险防范控制建议。3.2.3.3安全管理员应组织相关人员对风险评估报告进行评审，确定需执行的防范措施。防范措施的落实情况应做为下一次的风险评估的重点内容之一。3.2.3.4风险评估应至少每年进行一次。3.3安全访问控制管理3.3.1安全访问控制是指基于业务系统的安全需求对系

4、统和数据的访问进行控制，包括限制访问权限与能力，限制使用网络与相关系统及存储数据的过程，包括业务系统的接入管理，系统帐号口令和权限管理。3.3.2接入管理的目的是防范系统及终端的接入变更给生产环境带来的风险，规范访问资源的行为，确保信息网络安全。主要包括接入和退网的流程规范要求。3.3.3帐号口令和权限管理的目的是保证各个系统的帐号、口令和权限的合理分配和安全管理，降低由于盗用、滥用、越权等威胁带来的风险，切实保护公司和客户权益。主要包括密码口令管理规则、各级帐号的申请、审批、取消流程。3.4系统开发安全管理3.4.1系统开发安全是指在系统开发设计、实施、优化和验收时充分考虑安全性和安全需求，

5、确保整个应用程序系统的可靠性和稳定性，降低系统崩溃对重要数据造成的影响。3.4.2系统开发设计需遵循安全技术规范，包括安全技术规范。3.4.3项目集成规范评审及设计评审阶段，安全管理员必须组织进行安全相关评审，未达到安全技术规范要求的项目，由集成商和软件开发商进行整改，直至达到要求。3.4.4应用系统开发任务外包给第三方时，应将安全要求在双方认可的合同或协议中给予明确规定。3.4.5在系统开发过程中要求开发设施、测试设施与实际生产设施的分离，防止开发人员和测试人员对生产设施构成安全威胁，防止开发人员对程序进行恶意或非恶意的破坏。3.4.6系统在正式上线前应进行安全评估测试，验证应用系统是否满足

6、安全技术规范要求，不满足安全要求则不允许上线。3.4.7系统在正式上线后应进行WEB安全扫描，根据扫描结果组织安全加固。3.4.8针对系统上线前后安全评估发现的问题，根据相关管理办法进行考核。3.4.9在系统开发和维护阶段要对程序源代码进行严格的安全控制，包括访问控制和变更控制，开发设计相关的文档及程序代码作为公司的商业机密，未经公司认可不得对外泄漏。3.5日常运营安全管理3.5.1防病毒管理3.5.1.1安全管理员负责建立集中管理的防病毒体系，业务系统接入设备统一部署客户端的防病毒软件；3.5.1.2安全维护员检查全省所有防病毒服务器的运行状态和升级病毒代码库，发布病毒预警通知和执行防范措施

7、；3.5.1.3安全维护员审计防病毒日志，对终端防病毒情况进行分析、处理和考核，并将防病毒考核结果提交安全管理员，由安全管理员分析确定；3.5.1.4安全管理员在评估防病毒产品新版本可靠性和风险后，组织和安排相关人员及时完成公司防病毒服务器的软件升级；3.5.1.5系统管理员配合安全维护员完成防病毒软件的安装和病毒的查杀。3.5.2防火墙管理3.5.2.1安全管理员负责防火墙部署方案的设计及防火墙策略的管理；3.5.2.2安全维护员负责防火墙设备的日常维护及防火墙策略的配置；3.5.2.3防火墙策略变更需通过变更流程执行，经安全管理员审批后，由安全维护员完成配置，并及时更新防火墙策略文档；3.

8、5.2.4安全管理员每月审核防火墙策略，定期组织不符合安全域管理的策略进行评审，制定改进计划并督促改进，对无法进行整改的策略明确说明理由，提交安全负责人审核。3.5.2.5安全维护员每月分析防火墙安全日志，提交安全事件分析报告，由安全管理员审核。3.5.3入侵检测及防护管理3.5.3.1安全维护员实时监控入侵检测及防护系统的报警信息，发现问题及时进行分析处理；3.5.3.2安全维护员应整理入侵检测特征库的发布信息，提交安全管理员确认，如需更新，由安全管理员负责部署入侵检测特征库升级的实施；3.5.3.3安全维护员每月提交入侵检测事件分析报告，安全管理员根据报告制定策略调整方案并安排部署实施。3

9、.5.4安全补丁管理3.5.4.1安全补丁等级原则上可分为三级：紧急、重要、一般，3.5.4.2安全维护员负责补丁管理系统的维护。3.5.4.3安全管理员和系统管理员进行核实，确认需要加载的补丁，系统管理员进行补丁加载，安全维护员进行核查和结果通报。3.5.5安全评估与加固管理安全评估与加固包括新入网设备安全评估与加固和在线系统例行安全评估和加固两种：3.5.5.1新入网设备安全评估与加固设备入网时，必须根据安全配置要求和安全扫描及加固管理办法要求对新入网系统进行初步加固。安全维护员对入网设备进行扫描与评估，提交评估报告和安全加固建议。安全管理员组织协调进行安全加固，并对加固情况进行复核，直至

10、符合安全基线要求。未达到安全基线要求的系统原则上不允许上线，因特殊原因必须上线的系统，需明确说明理由并制定改进计划，由安全负责人审核后方可上线，安全管理员督促进行整改。3.5.5.2在线生产系统例行评估和加固安全管理员定期根据安全配置要求和安全扫描及加固管理办法要求，组织在线系统的安全评估与加固工作，至少每年进行一次。安全维护员负责安全扫描与评估，提交安全扫描报告与安全加固建议。安全管理员根据安全扫描报告与安全加固建议制定安全加固方案，召集安全维护员、系统管理员、应用管理员等相关人员进行评审，包括加固方案的可行性以及加固对系统的影响。安全管理员根据评审结果组织安全加固，系统管理员、应用管理员根

11、据加固方案进行加固，直至符合安全基线要求。未达到安全基线要求，因特殊原因无法进行加固的内容需要说明理由，并制定改进计划，由安全负责人审核，安全管理员督促进行整改。3.5.5.3安全管理员每年组织更新各系统安全加固技术规范，作为各系统实施安全加固的依据。3.5.6终端安全管理3.5.6.1安全管理员制定终端管理系统的安全策略，安全维护员进行具体的安全策略配置；3.5.6.2网络系统管理员负责对允许接入局域网终端进行资源分配；3.5.6.3安全维护员完成终端接入的用户帐号的创建、删除和权限设置，并进行终端资产的录入更新；3.5.6.4安全维护员对曾发生过安全事件的终端进行复核，作为对终端管理工作的

12、考核依据。3.5.7备份管理3.5.7.1备份管理包括备份策略的制定、备份作业执行、恢复性测试和备份介质管理；3.5.7.2备份管理具体内容参见数据备份管理办法。安全管理的审计稽核3.5.8安全管理审计稽核的目的是保证安全管理相关策略、流程和要求的有效执行，通过基于操作日志的安全审计和日常运营安全执行情况的审计及时发现执行问题和安全隐患。3.5.9基于操作日志的安全审计3.5.9.1目的是为有效监督对IT系统敏感数据的访问和关键操作行为，及时发现违规操作和安全隐患，确保IT系统的安全性、完整性、可用性。3.5.9.2安全审计管理主要包括审计的基础要求、审计内容和规则、审计流程3.5.10日常运

13、营安全审计3.5.10.1安全审计员应每月对日常运营安全管理要求的执行情况进行审计稽核。3.5.10.2日常运营安全审计应包括以下内容：n 安全事件处理规范性n 防病毒维护管理规范性 n 防火墙维护管理规范性 n 入侵检测维护管理规范性 n 安全补丁维护管理规范性 n 评估加固工作规范性 3.6安全管理衡量指标3.6.1安全管理的衡量指标：n 安全事件的数量 n 安全管理不当引起的故障次数n 病毒感染率 n 病毒查杀及时率 n 入侵事件成功检测率 n 补丁加载及时率 n 项目及软件开发需求安全评审合格率 3.6.2安全管理员应以安全管理的衡量指标为基础，汇总分析安全管理整体情况，提出改进建议或需求。4附加说明本办法自正式发布之日起执行。